美文网首页让前端飞Web前端之路
前端网络高级篇(二)身份认证

前端网络高级篇(二)身份认证

作者: 娜姐聊前端 | 来源:发表于2020-05-31 18:22 被阅读0次

网络身份的验证的场景非常普遍,比如用户登陆后才有权限访问某些页面或接口。而HTTP通信是无状态的,无法记录用户的登陆状态,那么,如何做身份验证呢?

下面,会从浅入深,陆续介绍几种常用的认证方式和相关概念。文章较长,请耐心阅读。

1. 鉴权与授权

  • 鉴权 Authentication,指对于一个声明者所声明的身份权利,对其所声明的真实性进行鉴别确认的过程。
    例子:用户名张三,密码******,用户名和密码通过挖财验证,登陆成功
  • 授权 Authorization,一般是指获取用户的委派权限。
    例子:我是张三,有权访问git/client/jizhang,因为gitlab给我进行了授权
image

一般流程为先鉴权再授权。而身份验证指的就是鉴权这个步骤。

1.2 常用的鉴权方式

  • 方式一:HTTP Basic Authentication (401)
    客户端发送http request 给服务器,服务器验证该用户是否已经登录验证过了,如果没有的话,服务器会返回一个401 Unauthozied给客户端,并且在Response 的 header “WWW-Authenticate” 中添加信息。
    然后,浏览器弹出输入框要求输入用户名和密码。

    image
    用户输入正确的用户名和密码后,浏览器用BASE64编码,放在Authorization header中发送给服务器。如下图:
    image
    最后,服务器将Authorization header中的用户名密码取出,进行验证, 如果验证通过,将根据请求,发送资源给客户端。
  • 方式二:Session-cookie

  • 方式三:Token

  • 方式四:OAuth(开发授权)

后三种验证方式下面逐渐展开讲解。

2. Token VS Cookies

image

2.1 Cookies

Cookies是传统的鉴权方式,通过浏览器携带的Cookies字段来进行状态存储。特点如下:

  • 认证信息在服务端需要存储。cookies携带sessionId,用户经过认证之后,应用都要在服务端做一次记录,以方便用户下次请求的鉴别。session的保存方法多种多样,可以保存在文件中,也可以内存里,或第三方媒介,比如redis或者mongodb。随着认证用户的增多,服务端的开销会明显增大。缺点
  • 一般不需要客户端存储。服务端通过reponse: Set-Cookie头信息为客户端设置cookie,客户端不需要做特殊配置,浏览器会在后续的ajax请求中自动带上cookie。
    image
  • 有CSRF(跨站点伪造请求)风险。缺点
  • 移动端用在使用cookie时有各种不便利和局限。缺点
  • Cookie可以在同一域名下或者同一主域不同子域下共享,一旦跨主域,就无法共享缺点
  • 分布式应用上,可能会限制负载均衡器的能力。用户认证之后,服务端做认证记录,如果认证的记录被保存在内存中的话,这意味着用户下次请求还必须要请求在这台服务器上,这样才能拿到授权的资源,这样在分布式的应用上,相应的限制了负载均衡器的能力。这也意味着限制了应用的扩展能力。缺点

2.2 Token

Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。

最简单的token组成:uid(用户唯一的身份标识)、time(当前时间的时间戳)、sign(签名,由token的前几位+盐以哈希算法压缩成一定长的十六进制字符串,可以防止恶意第三方拼接token请求服务器)。

相比Cookies,Token的优势明显多了。

  • 服务端无需存储认证信息。因为Token本身就存储了认证信息。
  • 需要前端存储(建议用localstorage)。客户端通过request: Authorization头信息设置Token,发给服务端做验证。缺点
    image
  • 无CSRF风险
  • 适合移动端身份认证
  • token支持各类跨域

Javascript支持Token如下:

// JS
var res = new XMLHttpRequest();
...
req.setRequestHeader('Authorization',accesstoken);
  
// JQuery
$.ajax({
   url: api,
   type: "GET",
   headers: { "Authorization": "Bearer " + token}
})

2.3 什么是JWT(Json web token)

JWT是实现Web应用会话管理的一种方式。广义上来讲,它是一种开发标准,而非技术实现(大部分的语言平台都有按照它规定的内容提供了自己的技术实现);狭义上讲,它就是用来传递的Token字符串。

看一下JWT是如何传递的。


image

它长得像下面这样。。。


image

JWT是如何对信息签名加密的呢?
要前面的信息分为三部分:header,payload和signature。

  • header:说明这个JWT签发的时候所使用的签名和摘要算法
{
  "typ": "JWT",
  "alg": "HS256"
}
  • payload:用来承载要传递的数据
{
  "sub": "1234567890",
  "name": "john Doe",
  "admin": true
}
  • signature:密钥

签名过程:把headerpayload对应的json结构进行base64url编码之后得到的两个串用英文句点号拼接起来,然后根据header里面alg指定的签名算法生成出来的。函数如下:

HMACSH256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret
)
image
HMAC计算:https://1024tools.com/hmac

下面的内容都是基于Token认证

3. Token有效期

显而易见,身份验证必须要有有效期!那么,如何在”用户无感知”的情况下处理Token失效?

  • 方案一: 服务器端保存 Token 状态,用户每次操作都会自动刷新(推迟) Token 的过期时间。
    • 缺点:请求次数多时,每次都刷新过期时间代价较大
  • 方案二:refresh token
    • 优点:服务端不需要刷新token,避免频繁读写操作

那让我们看看什么是refresh token?

3.1 Refresh token

第一步,登陆。


image

第二步,业务请求


image

第三步,Token过期,刷新Token


image

那么,如果refresh token也过期呢?好吧,请重新登陆吧。

3.2 Refresh token自动续期

可以在Refresh token每次使用时,更新它的过期时间。也可以在创建Refresh token时,就指定它的过期时间,比如,距离创建时间XXX天后过期。

看到这里,大家应该觉得身份验证可以完美收官了。。。但是,前面所讲的技术都有一个大前提,就是,认证服务和业务服务在一起的。
比如,上淘宝网,用淘宝账号登陆,没有问题。
但是,现在很多网站都没有自己的账号密码,而是通过第三方账号登陆,比如微信,微博,QQ。

这种认证服务和业务服务分离的情况下,如何做身份认证呢?继续下面两节吧!

4. 分离认证服务

认证服务和业务服务分离时,利用Token的无状态特性,实现单点登陆。

第一步,登录和业务请求


image

第二步,更新Token

image

这样好像完美多了。但是,又有个问题,上图是在认证服务器信任业务服务器的场景下工作的。

问题1:如何处理不受信任的业务服务器呢?
答案:使用非对称加密签名,认证服务器使用密钥A签发(私钥),业务服务器使用密钥B验证(公钥)。

问题2: 多个业务服务器之间使用相同的Token对用户来说是不安全的!!!任何一个服务器拿到Token都可以仿冒用户去另一个服务器处理业务,怎么处理?
答案:认证服务器产生Token时,需要把使用方-业务服务器相关信息记录在Token中。

问题3:如果用户不信任业务服务器呢?
答案:让『认证服务』帮助用户甄别『业务服务』!

开发式API可以解决上面的所有问题。

5. 开放式API - OAuth

OAuth 2.0是一个关于授权(authorization)的开放网络标准。

image

认证服务器不公开公钥, 业务服务需要在认证服务注册,通过审核,拿到特定公钥。
然后,用户通过认证服务器授权,将授权数据加密到Token中。

OAuth有四个角色:

  • 资源拥有者(Resource Owner) - 用户
  • 客户端(Client) - 三方应用
  • 资源服务器(Resource Server) - 存放用户资源和信息
  • 授权服务器(Authorization Server) - 给三方颁发授权令牌(access token)

授权流程如下图:


image

微信公众号:

J

相关文章

网友评论

    本文标题:前端网络高级篇(二)身份认证

    本文链接:https://www.haomeiwen.com/subject/xterzhtx.html